●第1章 數字取證技術概述 1
1.1 研究背景 1
1.2 數字取證概念及其內涵演化 2
1.3 數字證據及其特點 3
1.3.1 磁盤數據證據 4
1.3.2 網絡數據證據 6
1.3.3 內存數字證據 7
1.3.4 數字證據特點 7
1.4 數字取證技術研究現狀 8
1.4.1 取證模型 8
1.4.2 證據獲取技術 9
1.4.3 證據分析技術 9
1.4.4 取證技術標準、規範 10
1.4.5 國內數字取證調查技術現狀 10
1.5 發展動態 11
1.6 本書主要內容及結構 12
1.7 小結 13
第2章 數字取證模型 14
2.1 相關工作 15
2.1.1 數字犯罪現場調查過程模型 15
2.1.2 綜合數字調查過程模型 16
2.1.3 基於目標的層次框架 17
2.1.4 端到端數字調查過程模型 17
2.2 文檔碎片數據特性 18
2.2.1 類型特性 18
2.2.2 內容特性 18
2.2.3 邏輯特性 19
2.3 取證分析模型 19
2.4 模型優缺點 23
2.5 同現有模型比較 24
2.6 模型應用——案例1 25
2.7 模型應用——案例2 27
2.8 小結 29
第3章 磁盤取證技術 30
3.1 磁盤取證技術綜述 30
3.1.1 磁盤取證技術研究背景 30
3.1.2 磁盤取證相關概念 31
3.1.3 磁盤映像及證據存儲技術 32
3.1.4數據的取證分析技術 37
3.1.5 磁盤文件數據識別與雕刻技術 38
3.2 基於磁盤映像的新型數字證據存儲容器 41
3.2.1 基於GPU的並行磁盤數據映像獲取方法 42
3.2.2 基於模型的數字證據快速轉換算法 47
3.2.3 新型數字證據容器 51
3.3 基數據的信息盜取行為取證分析方法 57
3.3.1 術語定義 57
3.3.2 基於k-low的數據盜取抽樣檢測算法 58
3.3.3 基於差分矩陣的數據盜取行為取證分析算法 64
3.3.4 基於Windows回收站的異常文件發現 72
3.4 隱藏證據識別與數據雕刻方法 76
3.4.1 隱藏文件類型檢測方案 77
3.4.2 基於2DDPCA的隱藏文件類型識別算法 78
3.4.3 基於文件特征可視化的SQL mdf文件雕刻算法 83
3.4.4 基於SQLite的位置信息雕刻算法 88
3.4.5 基於集合論的E-mail碎片雕刻模型及算法 94
3.4.6 基於磁盤碎片熵值特征的文件雕刻算法 101
3.5 交換分區取證算法 107
3.5.1 算法繫統功能 107
3.5.2 算法繫統結構 108
3.5.3 軟件界面設計 111
3.6 文件雕刻恢復和交換分區取證繫統 111
3.6.1 文件雕刻平臺 111
3.6.2 基於交換分區主機行為取證檢測繫統 113
3.7 小結 114
第4章 網絡證據獲取技術 116
4.1 網絡監視目標與類型 116
4.1.1 網絡監視目標 116
4.1.2 網絡監視類型 116
4.2 設置網絡監視繫統 118
4.3 部署和評估網絡監視器 120
4.4數據獲取 121
4.5 監控和維護全內容數據 123
4.5.1 用tcpdump進行全內容監控 123
4.5.2 維護全內容數據文件 124
4.5.3 基於Wireshark的網絡流數據獲取 124
4.5.4 收集基於網絡的日志文件 125
4.6 小結 126
第5章 網絡證據分析技術 127
5.1 用tcpdump捕獲網絡數據流 127
5.2 基於tcptrace的網絡會話數據分析 129
5.2.1 解析捕獲文件 129
5.2.2 解釋tcptrace輸出 130
5.3 基於Snort的安全事件分析 131
5.3.1 檢查SYN報文 131
5.3.2 解釋Snort輸出 134
5.4 基於tcpflow的網絡會話內容重建 135
5.4.1 聚焦FTP會話分析 135
5.4.2 解釋tcpflow輸出 135
5.4.3 審查SSH會話 138
5.4.4 改進tcpdump過濾器 140
5.5 基於Wireshark會話重組 141
5.6 小結 143
第6章 物理內存取證技術 144
6.1 研究意義和現狀 144
6.2 物理內存取證方法與繫統結構 146
6.2.1 物理內存取證方法 146
6.2.2 繫統實現方案 147
6.3 Windows繫統物理內存映像技術 148
6.3.1 設計思路 148
6.3.2 基於內核驅動的物理內存映像算法流程 150
6.3.3 關鍵技術 154
6.3.4 實現特色 155
6.4 物理內存進程識別與分析機制 156
6.4.1 設計思路 156
6.4.2 操數據識別機制 156
6.4.3 進程分析基礎 158
6.4.4 進程識別與分析實現流程 161
6.4.5 關鍵技術 165
6.4.6 實現特色 166
6.5 文檔信息恢復技術 166
6.5.1 設計思路 166
6.5.2 進程實時文檔信息恢復技術 167
6.5.3 剪貼板數據恢復技術 173
6.5.4 關鍵技術 178
6.5.5 實現特色 178
6.6 網絡攻擊行為重建技術 179
6.6.1 設計思路 179
6.6.2 網絡行為重建 180
6.6.3 基於命令行的網絡行為重建 181
6.6.4 關鍵技術 183
6.6.5 實現特色 184
6.7 即時信息搜索機制 184
6.7.1 實現原理 184
6.7.2 實現方案 185
6.8 物理內存取證分析繫統 186
6.9 宙斯病毒入侵取證分析案例 189
6.9.1 物理內存獲取案例 189
6.9.2 宙斯病毒入侵取證分析 190
6.10 小結 198
第7章 即時通信取證技術 199
7.1 即時通信取證技術的研究現狀 200
7.1.1 即時通信取證的概念、犯罪類型及研究概況 201
7.1.2 數字取證模型相關研究 204
7.1.3 會話主題挖掘算法相關研究 205
7.1.4 社交關繫取證方法相關研究 206
7.1.5 位置取證技術相關研究 207
7.1.6 存在的問題及解決思路 208
7.2 即時通信取證模型 209
7.2.1 即時通信數據的特點 209
7.2.2 即時通信取證模型分析 210
7.2.3 模型特點 212
7.2.4 模型應用案例 213
7.3 基於語義傾斜的會話主題挖掘取證算法 214
7.3.1 PLSA算法基本原理 215
7.3.2 語義傾斜的動態調整 216
7.3.3 基於語義傾斜的會話主題挖掘取證算法分析 218
7.3.4 實驗及結果分析 220
7.4 多源即時通信社交關繫取證方法 221
7.4.1 建立多源即時通信社交關繫庫 222
7.4.2 社交關繫的分析取證 223
7.4.3 多源即時通信社交關繫取證分析 227
7.4.4 實驗及結果分析 228
7.5 基於即時通信的位置取證技術 231
7.5.1 位置數據簡介 232
7.5.2 基於可視化的地理位置關聯分析技術 232
7.5.3 實驗及結果分析 239
7.6 小結 240
第8章 雲計算取證 242
8.1 雲計算取證技術的現狀 243
8.1.1 雲計算的定義 243
8.1.2 雲取證相關概念 245
8.1.3 雲取證模型相關研究 247
8.1.4 雲平臺證據的提取技術相關研究 248
8.1.5 雲平臺證據的分析技術相關研究 250
8.1.6 存在的問題及解決思路 252
8.2 雲計算取證模型 253
8.2.1 雲計算取證模型概述 253
8.2.2 雲計算取證模型及其特點 254
8.2.3 模型分析 262
8.3 基於三級映射的HDFS文件高效提取取證方法 264
8.3.1 H數據分析 265
8.3.2 Ext4文件繫統分析 268
8.3.3 Ext4文件定位流程 269
8.3.4 基於三級映射的高效文件提取方法 271
8.3.5 實驗結果及分析 277
8.4 基於MapReduce的HDFS數據竊取隨機檢測算法 281
8.4.1 文件繫統行為隨機模型 282
8.4.2 MapReduce 數據處理框架 283
8.4.3 基於MapReduce的數據竊取隨機檢測算法 286
8.4.4 實驗結果及分析 290
8.5 小結 296
參考文獻 298